Nezodpovedný výber zodpovednej osoby
GDPR zásadne mení postavenie zodpovednej osoby. Formalizmus už nebude stačiť. Ste pripravení?
Tento blog bol pôvodne publikovaný na etrend.sk.
Povinnosť ustanoviť zodpovednú osobu za oblasť spracúvania osobných údajov nie je v slovenskom právnom poriadku ničím novým. Napriek tomu, však GDPR prinieslo významné zmeny aj v tejto oblasti. Odpadli na jednej strane formálne skúšky znalosti zodpovednej osoby. Na druhej strane sa podstatne zvýšila zodpovednosť prevádzkovateľov a sprostredkovateľov za nedodržanie povinností v podobe sankcií a hrozby ďalších nárokov dotknutých osôb. Ako teda pristúpiť k ustanoveniu zodpovednej osoby, ak takáto povinnosť vznikla? Vyslovene formalistický prístup najčastejšie uplatňovaný v oblasti ochrany osobných údajov na Slovensku ostatných 15 rokov už nebude postačovať súčasnej platnej právnej úprave.
GDPR tento prístup totiž odmieta už svojimi základnými zásadami, predovšetkým zásadou zodpovednosti. Inými slovami, nestačí mať zodpovednú osobu vymenovanú. Potrebné je aj preukázať zabezpečenie výkonu jej úloh a postavenie so zodpovedajúcimi oprávneniami.
Aká je úloha zodpovednej osoby?
Zodpovedná osoba sa zaväzuje s odbornou starostlivosťou poskytovať služby zabezpečujúce plnenie úloh v zmysle článku 39 GDPR, napríklad poskytovanie informácií a poradenstva, monitorovanie súladu s nariadením GDPR, spolupráca s Úradom na ochranu osobných údajov SR, plnenie úlohy kontaktného miesta pre Úrad na ochranu osobných údajov SR.
Zodpovedná osoba nemá plniť úlohy od prevádzkovateľa a sprostredkovateľa, ale nezávisle chrániť práva dotknutých osôb a informovať najvyššie vedenie o nedostatkoch. Na tento účel je potrebné skúmať konflikt záujmov s inými činnosťami vykonávanými pre spoločnosť (napríklad výkon činnosti na personálnom, marketingovom alebo IT oddelení).
Európska komisia presne definovala aj ďalšie nároky na zodpovednú osobu, patrí k nim aj
- pochopenie uskutočnených spracovateľských operácií
- pochopenie informačných technológií a bezpečnosti
- znalosť podnikateľského sektora a organizácie
- schopnosť podporovať budovanie kultúry ochrany osobných údajov v rámci organizácie.
Na základe prečítania týchto riadkov je zrejmé, že niektorým internetovým ponukám ohľadom zodpovednej osoby je potrebné sa vyhnúť, nakoľko už na prvý pohľad neumožňujú zabezpečenie potrebných služieb. Tieto ponuky možno identifikovať napríklad a) nízkou cenou (už od 20 Eur mesačne), b) chýbajúcim definovaním vykonávaných činností, c) nezáujmom poskytovateľa o skutočný stav spracúvania osobných údajov, d) komunikácia výhradne elektronicky, e) jediný kontakt so zodpovednou osobou je prostredníctvom nových faktúr za služby.
Na druhej strane by ste mali od poskytovateľa očakávať a) pravidelné informovanie o legislatívnych zmenách, b) vypracovanie správ o stave ochrany, c) pomoc pri posudzovaní vplyvu (DPIA), d) realizovanie školení pre vašich zamestnancov a tak ďalej.
Zodpovednosť za porušenie ustanovení GDPR o zodpovednej osobe nesie v plnej miere prevádzkovateľ (článok 83 ods. 4 písm. a) GDPR). Ak ste realizovali iba menovanie zodpovednej osoby a jej oznámenie na Úrade na ochranu osobných údajov SR, splnili ste iba jednu, formálnu a ľahko splniteľnú povinnosť v týchto ustanoveniach.
A na záver pripomenutie pre tých, ktorým takáto povinnosť nevznikla. Vyhodnotenie vzniku povinnosti musí byť vedené v zdokumentovanej, preukázateľnej podobe.
Aké máte skúsenosti s výkonom funkcie zodpovednej osoby, či už ako ich poskytovateľ alebo objednávateľ? Napíšte mi na gdpr@advocate.sk.
